05 Aluisio

Instituto de Cincias Exatas Departamento de Cincia da Computao Curso de Especializao em Gesto da Segurana da Informao e Comunicaes
Aluisio Meneses de Brito Junior
Anlise de Riscos de Segurana da Informao: Um Enfoque de Alto Nvel Baseado na ISO/IEC 27005
Braslia 2011
Avaliao de Riscos de Segurana da Informao: Um Enfoque de Alto Nvel Baseado na ISO/IEC 2700
Braslia 2011
Avaliao de Riscos de Segurana da Informao: Um Enfoque de Alto Nvel Baseado na ISO/IEC 2700
Monografia apresentada ao Departamento de Cincia da Computao da
Universidade de Braslia como requisito parcial para a obteno do ttulo de Especialista em Cincia da Computao: Gesto da Segurana da Informao e Comunicaes.
Orientador: Prof. Paulo Hideo Ohtoshi Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao
Braslia Dezembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto da Segurana da Informao e Comunicaes - CEGSIC 2009/2011. 2011 Aluisio Meneses de Brito Junior. Qualquer parte desta publicao pode ser reproduzida, desde que citada a fonte.
Brito Junior, Aluisio Meneses de Anlise de Riscos de Segurana da Informao: Um Enfoque de Alto Nvel Baseado na ISO/IEC 27005 / Aluisio Meneses de Brito Junior Braslia: O autor, 2011. 75 p.; Ilustrado; 25 cm. Monografia (especializao) Universidade de Braslia. Instituto de Cincias Exatas. Departamento de Cincia da Computao, 2011. Inclui Bibliografia. 1. Gesto. 2. Risco. 3. Segurana. Ttulo. CDU 004.056i
Ata de Aprovao de Monografia
Dedicatria
Dedico esta pesquisa a Deus pela oportunidade da vida, minha me e minha irm que esto comigo desde sempre, independente do quo difcil isso seja, especialmente minha esposa Andria que me incentivou e apoiou nesta jornada, sendo fundamental para a concretizao deste trabalho.
Agradecimentos
A Deus, pelas graas dadas e pelas lies aprendidas.
Ao professor Paulo Hideo Ohtoshi que acreditou na viabilidade desta pesquisa e me apoiou durante o processo.
Ao Prof. Dr. Jorge Henrique Cabral Fernandes e toda a equipe responsvel, que atravs de seu trabalho proporcionaram esse Curso de Especializao.
minha me e irm que sempre estiveram comigo, mesmo quando at eu gostaria de estar longe.
minha esposa e companheira, Andria, que me apoiou e incentivou durante o curso e que o segue fazendo durante a nossa vida.
Um homem no pode fazer o certo numa rea da vida, enquanto
est ocupado em fazer o errado em outra. A vida um todo indivisvel .
Mahatma Gandhi
Lista de Figuras
Figura 1 - Ciclo de vida da Informao. ..................................................................... 23 Figura 2 Processo de Gesto de risco conforme AS/NZS 4360:2004 .................... 28 Figura 3 O PDCA conforme a ISO/IEC 27001 (ABNT, 2006) ................................. 31 Figura 4 O processo de gesto de Riscos da ISO27005:2008............................... 39 Figura 5 Organograma do CPDF ........................................................................... 51 Figura 6 - Anlise de Riscos...................................................................................... 65
10
Lista de Tabelas
Tabela 1 Critrio de Vulnerabilidade ...................................................................... 54 Tabela 2 Critrio de Ameaa .................................................................................. 55 Tabela 3 Critrio de Impacto .................................................................................. 55 Tabela 4 Critrio para Aceitao de Riscos ........................................................... 56 Tabela 5 Matriz de Risco ........................................................................................ 57 Tabela 6 Classificao do Risco ............................................................................ 57 Tabela 7 Tabela de Anlise de Riscos ................................................................... 62 Tabela 8 Priorizao dos riscos ............................................................................. 63 Tabela 9 Proposta de tratamento de riscos ............................................................ 67
11
Sumrio
Ata de Aprovao de Monografia ................................................................................ 5 Dedicatria .................................................................................................................. 6 Agradecimentos .......................................................................................................... 7 Lista de Figuras ........................................................................................................... 9 Lista de Tabelas ........................................................................................................ 10 Sumrio ..................................................................................................................... 11 Resumo ..................................................................................................................... 14 Abstract ..................................................................................................................... 15 1 Delimitao do Problema ....................................................................................... 16 1.1 Introduo ........................................................................................................ 16 1.2 Formulao da Situao Problema .................................................................. 18 1.3 Objetivos e Escopo .......................................................................................... 18 1.3.1 Objetivo Geral ........................................................................................... 18 1.3.2 Objetivos Especficos ................................................................................ 18
12
1.3.3 Escopo ...................................................................................................... 19 1.4 Justificativa ...................................................................................................... 20 2 Reviso de Literatura e Fundamentos ................................................................... 22 2.1 Informao ....................................................................................................... 22 2.2 Ciclo de Vida da Informao ............................................................................ 23 2.3 Segurana da Informao................................................................................ 24 2.4 Atributos da Segurana da Informao ........................................................ 25
2.4.1 CONFIDENCIALIDADE............................................................................. 25 2.4.2 INTEGRIDADE .......................................................................................... 26 2.4.3 DISPONIBILIDADE ................................................................................... 26 2.4.4 AUTENTICIDADE ..................................................................................... 26 2.4.5 NO REPDIO ......................................................................................... 27 2.4.6 LEGALIDADE ............................................................................................ 27 2.5 Normas e Padres de Segurana da Informao ........................................ 27
2.5.1 AS/NZS 4360:2004 ....................................................................................... 27 2.5.2 ABNT NBR ISO/IEC 17799........................................................................... 30 2.5.3 ABNT NBR ISO/IEC 27001........................................................................... 30 2.5.4 ABNT NBR ISO/IEC 27002........................................................................... 32 2.5.5 ABNT NBR ISO/IEC 27005........................................................................... 32 2.5.6 ABNT NBR ISO/IEC 31000........................................................................... 33 2.6 Gesto de Riscos ......................................................................................... 33
2.6.1 Definio de Gesto de Riscos ..................................................................... 33 2.6.2 Termos Relacionados Gesto de Riscos ................................................... 35 2.6.3 Componentes do Risco................................................................................. 37 2.7 Gesto de Riscos de Segurana da Informao .......................................... 38
2.7.1 Etapas do Processo de Gesto de Riscos .................................................... 39 2.8 Referenciais Conceituais das Disciplinas do CEGSIC ................................. 45
13
3 Metodologia ............................................................................................................ 48 3.1 3.2 Metodologia da pesquisa bibliogrfica ......................................................... 48 Metodologia para aplicao dos conceitos ................................................... 49
3.2.1 Definio do Escopo ..................................................................................... 49 3.2.2 Critrios Bsicos ........................................................................................... 53 3.2.3 Anlise/Avaliao de Riscos ......................................................................... 56 4 Resultados ............................................................................................................. 59 5 Discusso ............................................................................................................... 64 6 Concluses e Trabalhos Futuros............................................................................ 68 6.1 Concluses ...................................................................................................... 68 6.2 Trabalhos Futuros ........................................................................................ 70
Referncias e Fontes Consultadas ........................................................................... 72
14
Resumo
Este trabalho de pesquisa apresenta um estudo acerca do tema Anlise e Avaliao de Riscos de Segurana da Informao baseado na norma ABNT ISO/IEC 27005, fazendo referncias s outras Normas da famlia 27000 e recente norma ABNT ISO/IEC 31000. A norma 27005 prope iniciar a anlise por uma abordagem mais global ou de alto nvel, visando aos principais riscos que envolvem o negcio. O enfoque de alto nvel uma abordagem simplificada que considera os aspectos tecnolgicos independente das questes de negcio. So abordados os conceitos sobre Informao, seu ciclo de vida e principais atributos, Segurana da Informao e Gesto de Riscos de Segurana da Informao, alm de um breve inventrio das principais Normas que tratam sobre a Segurana da Informao. Complementando a reviso conceitual, ser apresentado um exemplo de aplicao desses conceitos em uma organizao hipottica, a fim de demonstrar a prtica do processo descrito.
Palavras-chave: Informao, Segurana da informao, Gesto de Riscos, Normas, Anlise e Avaliao de Riscos, Processo de Gesto de Riscos.
15
Abstract
This research essay presents a study about the Information Security Risk Analysis and Evaluation issue, based on the ABNT ISO/IEC 27005 standard and also referring to the 27000 family of standards and the most recent ABNT ISO/IEC 31000. The 27005 standard proposes starting the analysis by a global and high level approach, aiming at the main risks that evolve business. The high level focus is a simplified approach that considers technological aspects regardless of the business matters. Information concepts and life cycle, Information Security and information key attributes and Risk Management are contemplated, besides a brief summary about the main Information Security standards. Additionally to the concepts review, a practical example applying these concepts is demonstrated in a hypothetical organization.
Keywords: Information, Information Security, Risk Management, Standards, Analysis and Risk Assessment, Risk Management Process.
16
1 Delimitao do Problema
1.1 Introduo
Conforme o Acrdo 1603/2008 do Tribunal de Contas da Unio a proteo de informaes crticas s organizaes contribui para que essas mesmas organizaes alcancem seus objetivos institucionais (TCU, 2008). Ainda segundo o referido acrdo, apesar das constantes e rpidas mudanas ocorridas no ambiente de atuao destas organizaes, muitas delas ainda atuam de maneira puramente reativa, no contando com um planejamento estratgico e de Tecnologia da Informao (TI).
O Acrdo destaca que entre as 255 organizaes pesquisadas, 47% delas no contam com um planejamento estratgico institucional vigente na organizao, destas, 81% no possuem planejamento estratgico de TI e, entre os que possuem o primeiro planejamento citado, 40% no possuem o de TI. A falta destes impede o necessrio alinhamento da TI com o negcio da organizao e praticamente impossibilita o estabelecimento de diretrizes para a rea de TI.
Em se tratando de segurana da informao, foi constatada a ausncia de Politica de Segurana da Informao (PSI) em 64% dos rgos. Em 88% dos rgos pesquisados no h um Plano de Continuidade de Negcios (PCN) vigente e, entre os que afirmam possuir um PCN, somente 30% afirmaram ter revisado o mesmo em perodo inferior a um ano.
17
O TCU que constatou a ausncia da anlise de riscos na rea de TI em 75% dos rgos/entidades pesquisados. H tambm um forte indcio de que as aes de segurana no so executadas em sintonia com as necessidades de negcio dessas organizaes.
Deste contexto, foi possvel concluir que a Administrao Pblica Federal (APF) no tem como prtica comum a Gesto de Riscos, que a responsvel por garantir a proteo das informaes crticas das organizaes. Todavia, o Departamento de Segurana da Informao e Comunicaes (DSIC), rgo ligado ao Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR), em sua Norma Complementar n04/IN01/DSIC/GSIPR estabelece diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes (GRSIC) para toda a APF, na qual apresentada uma abordagem sistemtica do processo de GRSIC, com resumidamente a seguinte estrutura:
a. Definies Preliminares: anlise da organizao e estruturao do GRSIC;
b. Anlise/ Avaliao de Riscos: identificao dos riscos e avaliao dos nveis dos riscos;
c. Tratamento dos Riscos: determina as formas de tratamento de riscos, observando o contexto organizacional envolvido;
d. Monitorao e Anlise Crtica dos Riscos: detecta possveis falhas, monitorando os riscos e verificando a eficcia do GRSIC.
Dada a necessidade comprovada pelo acrdo do TCU, este trabalho busca o estudo da avaliao de riscos em sua teoria, baseando-se nas principais normas sobre o tema e em sua aplicao em uma organizao fictcia para fins de exemplificao.
18
1.2 Formulao da Situao Problema
Devido importncia das informaes para as organizaes e a dependncia tecnologia gerada pelo uso intensivo de recursos tecnolgicos, sobretudo da Internet, a Gesto da Segurana da Informao tornou-se fundamental para a consecuo dos objetivos organizacionais. A anlise de riscos parte essencial na gesto da segurana da informao. Por meio dela, a organizao implanta de forma sistemtica os controles necessrios segurana dos ativos de informao. A anlise de riscos um mtodo sistemtico para estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da informao. Este mtodo lgico e sistemtico o que este trabalho de pesquisa pretende estudar, por meio da aplicao prtica em uma organizao fictcia. Assim, de suma importncia a utilizao do processo de anlise de riscos para que este possa ajudar a compreender e a responder a seguinte pergunta: Como a anlise de riscos pode ser aplicada na gesto da segurana da informao de uma organizao fictcia?.
1.3 Objetivos e Escopo

1.3.1 Objetivo Geral
A pesquisa proposta tem como objetivo geral fazer uma anlise de riscos, com enfoque de alto nvel, nos ativos de uma organizao fictcia.
1.3.2 Objetivos Especficos
Para alcanar o objetivo geral desta pesquisa so propostos os seguintes objetivos especficos:
19
Rever a literatura sobre Segurana da Informao com nfase na Gesto de Riscos; Definir mecanismos e critrios de anlise de riscos, com enfoque de alto nvel, em uma organizao hipottica; Avaliar e classificar riscos conforme matriz de risco (Tabela 5); Elaborar proposta para o tratamento dos riscos de classificao mdia e alta. 1.3.3 Escopo
A definio do escopo um dos principais fatores para uma boa gesto de riscos. A norma ABNT ISO/IEC 27005 recomenda que, no enfoque de alto nvel, a primeira iterao seja feita na organizao como um todo. O escopo deste trabalho est limitado a uma organizao fictcia que prov solues em ambientes computacionais, ou seja, o foco dessa organizao a disponibilizao de ambientes nos quais os sistemas possam ser executados conforme nveis previamente acordados com seus clientes.
A organizao em questo definida como empresa pblica com personalidade jurdica de direito privado, patrimnio prprio, autonomia
administrativa e financeira. regida pela lei que define sua criao assim como por seu Estatuto e por demais normas que lhe faam aplicveis.
No contexto deste trabalho, considera-se somente a sede da organizao, situada em Braslia, Distrito Federal. Trata-se do Centro de Processamento de Dados do Distrito Federal (CPDF), que tem como funo precpua a disponibilizao de solues em ambientes computacionais incluindo toda a infraestrutura para suporte s aplicaes, s bases de dados, rede de dados e quaisquer outros insumos necessrios. Essa unidade da organizao tem como misso Fornecer solues de TIC para a execuo e aprimoramento dos servios prestados pelo Estado brasileiro e ser o principal provedor de solues tecnolgicas para a gesto das informaes e dos registros civis da populao brasileira.
20
1.4 Justificativa
Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas o principal patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Com isso, a segurana da informao tornou-se um ponto crucial para a sobrevivncia das instituies. (TCU, 2008). Desta forma, o Tribunal de Contas da Unio inicia o seu Manual de Boas prticas em Segurana da Informao (Brasil, 2008), contextualizando a informao como ativo e patrimnio de vital importncia para a continuidade das organizaes da atualidade.
Essa importncia reconhecida tambm pela Administrao Pblica Federal que, conforme a Instruo Normativa GSI/PR n1, considera: as informaes tratadas no mbito da Administrao Pblica Federal, direta e indireta, como ativos valiosos para a eficiente prestao dos servios pblicos e resolve na mesma norma aprovar orientaes para a Gesto de Segurana da Informao e comunicaes a serem implementadas por seus rgos e entidades.
Como consequncia da necessidade de se prover segurana das informaes e comunicaes das organizaes, surge tambm a preocupao em consolidar as informaes, conhecimentos e normas acerca do tema para o desenvolvimento de solues que supram essa demanda por segurana.
Para a elaborao desta pesquisa, foram utilizadas as seguintes normas: a. ABNT NBR ISO/IEC 27001 Padro para sistema de gesto de segurana da Informao; b. ABNT NBR ISO/IEC 27002 cdigo de prtica para a gesto de segurana da informao; c. ABNT NBR ISO/IEC 27005 fornece diretrizes para a gesto de riscos e segurana da informao;
21
d. ABNT NBR ISO/IEC 31000 princpios e diretrizes para a gesto de riscos;
Todas estas normas estabelecem que o passo inicial para a gerncia de segurana da informao est na gesto de riscos. Conforme Smola (2003), O ciclo de vida do risco compreende as fases de um processo que se inicia pela identificao das situaes de risco, passando pela anlise de sua criticidade, pela adoo de estratgias para controlar e risco e finalmente pelo exerccio do monitoramento sobre a efetividade das medidas adotadas. Todo este ciclo pode ser simulado, propiciando uma forma diversa para seu entendimento em paralelo demonstrao de sua aplicao.
Silva (2009) define a gesto de riscos em seu trabalho como a aplicao de um mtodo lgico e sistemtico para estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da informao. Este mtodo lgico e sistemtico o que este trabalho de pesquisa pretende estudar e consolidar por meio da aplicao prtica de seus conceitos em uma organizao fictcia.
22
2 Reviso de Literatura e Fundamentos
2.1 Informao
Para Veneziano (2010), uma informao (informare = dar forma) um conjunto de dados organizados e referenciados de modo tal que fazem sentido ou possuem utilidade para algum. necessrio fazer com que uma informao sempre seja precisa, completa, econmica, flexvel, confivel, relevante, simples, pontual, verificvel, acessvel e segura. Verifica-se, a partir deste conceito, a gama de propriedades que envolvem a informao e infere-se tambm a importncia que a mesma tem na atualidade. Smola (2003, p. 45) define a informao como um Conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processo comunicativos ou transacionais. O autor apresenta a idei a de que inteligncia competitiva dos negcios representada pela informao e deve ser reconhecida como um ativo crtico para a organizao, ou seja, mais que algo subjetivamente importante a informao deve ser vista como um ativo, um bem da organizao.
Conforme a ABNT ISO/IEC 17799, a informao, os processos de apoio, os sistemas e as redes so importantes ativos para os negcios. Essa norma estabelece ainda que esses ativos que devem ser protegidos pela segurana da informao.
23
Por fim, Sianes (2005) define informao como uma srie de dados organizados de um modo significativo, analisados e processados, que geram hipteses, sugerem solues, justificativas de sugestes, crticas, de argumentos, utilizada em apoio ao processo de tomada de deciso. Exige mediao humana e seu valor est associado utilidade que ela apresenta. A partir da anlise desta ltima conceituao, pode-se concluir que a informao, alm de seu valor intrnseco, influi nos rumos da organizao e, portanto, exige uma srie de cuidados especficos para que sejam garantidos seu sigilo, integridade e disponibilidade.
H na literatura diversas conceituaes para Informao. O conceito adotado nesta pesquisa considera a informao como conjunto de dados organizados e referenciados de forma a terem significado e/ou valor para algum ou alguma organizao.
2.2 Ciclo de Vida da Informao
Figura 1 - Ciclo de vida da Informao. Fonte: Lyra (2008, p9)
A Figura 1 a representao grfica proposta por Lyra para o ciclo de vida da informao em uma organizao. De acordo com Lyra, a identificao das necessidades e dos requisitos da informao a mola propulsora deste ciclo.
a. A partir da identificao destas definies, a sequncia do processo : b. Obteno: trata da criao ou captura da informao de fonte externa;
24
c. Tratamento: organizao, formatao, classificao e/ou anlise da informao; d. Armazenamento: conservao da informao para uso futuro; e. Distribuio: tornar acessvel a informao queles que dela precisam e a ela tem direito; f. Uso: a utilizao da informao, o uso desta para gerao de valor para a organizao; g. Descarte: se a informao perde sua utilidade deve ser descartada conforme as regras especificadas para cada caso.
Segundo Sobreira (1999), gerenciar esse processo de forma a propiciar o uso efetivo da informao uma das tarefas mais complexas e difceis dentro das empresas. Vale ressaltar a importncia de se assegurar a integridade e a confidencialidade das informaes durante todo o processo, desde sua entrada na organizao at o momento de seu descarte.
2.3 Segurana da Informao

Conforme Melo (2008), a informao o bem mais precioso para qualquer instituio, com fins lucrativos ou no. O comprometimento da informao pode causar no apenas perdas financeiras, mas tambm danos sua imagem, podendo ser totalmente desastrosa para as instituies cada vez expostas ao impacto de no se ter esse precioso ativo devidamente assegurado.
A segurana est intrinsecamente ligada avaliao dos riscos e das ameaas (Melo, 2008). Sempre h um nvel de risco associado a qualquer ativo. Um sistema seguro aquele em que todas as ameaas possveis foram analisadas e todos os riscos avaliados e aceitos. Corrobora com Melo a afirmao da Associao Brasileira de Normas Tcnicas (2005, p.ix) que define o termo Segurana da Informao como a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. Novamente, destaca-se a
25
importncia de se assegurar as propriedades da informao como meio de proteo prpria organizao.
Este conceito ainda reafirmado em:

Segurana da informao pode ser entendida como o processo de proteger informaes das ameaas para sua integridade, disponibilidade e confidencialidade. (Beal, 2005, p.1)
Segurana a proteo de informaes, sistemas, recursos, e servios contra desastres, erros e manipulao no autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurana. (Dias, 2001, p.41)
Melo (2008), em seus estudos sobre segurana da informao, afirma que os requisitos condencialidade, autenticidade e integridade necessrios para a segurana so autoexplicativos, no entanto, os mecanismos usados para atender a esses requisitos so complexos e implement-los pode ser uma tarefa rdua. Todavia, esta tarefa se mostra necessria e vital para as organizaes.
2.4 Atributos da Segurana da Informao
2.4.1 CONFIDENCIALIDADE
Para Smola (2003, p. 44), confidencialidade a proteo da informao de acordo como grau de sigilo de seu contedo, de forma a limitar seu acesso e uso exclusivamente s pessoas para quem elas so destinadas. Corrobora com este conceito Beal (2005), conceituando confidencialidade como a garantia de que o acesso informao restrito aos seus usurios legtimos.
Resumidamente,
os
conceitos
tratam
da
proteo
de
informaes
confidenciais para evitar a divulgao indevida. Nesta pesquisa o conceito de confidencialidade utilizado ser o exposto pela instruo normativa IN01: propriedade de que a informao no esteja disponvel ou revelada pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado (GSI, 2008)
26
2.4.2 INTEGRIDADE
a "propriedade de salvaguarda da exatido e completeza de ativos" (ABNT, 2006), ou ainda, conforme Melo (2008) a propriedade que assegura que a informao est integra, ou seja, no houve alterao entre a origem e o destino.
O conceito apresentado por Beal (2005) diz que integridade a garantia da criao legtima e da consistncia da informao ao longo do seu ciclo de vida: em especial, preveno contra criao, alterao ou destruio no autorizada de dados e informaes.
Para efeitos desta pesquisa o conceito adotado ser o de que integridade a propriedade de que a informao no foi modificada ou destruda de maneira no autorizada ou acidental (GSI, 2008)
2.4.3 DISPONIBILIDADE
Para Smola (2003, p.44), disponibilidade a garantia de que toda informao gerada ou adquirida esteja disponvel aos seus usurios autorizados no momento em que delas necessitarem para qualquer finalidade.
Conforme a instruo normativa IN01 a integridade a propriedade de que a informao no foi modificada ou destruda de maneira no autorizada ou acidental (GSI, 2008), e este o conceito que ser adotado nesta pesquisa.
2.4.4 AUTENTICIDADE
Para Melo a autenticidade assegura que a informao autentica de quem realmente deve ser. O conceito envolve diretamente o direito (o dever e a responsabilidade) de autoria da informao ao legitimo autor.
27
Conforme a instruo normativa IN01 autenticidade a propriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade (GSI, 2008).
2.4.5 NO REPDIO
Para Fontes (2000, p.22), no repdio a garantia de que o usurio no possa negar sua responsabilidade pelo uso ou envio de uma informao e este o conceito que ser adotado no decorrer desta pesquisa.
2.4.6 LEGALIDADE Smola (2003, p.46) define legalidade como a caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes. Fontes (2000) corrobora ainda afirmando que O acesso informao deve estar de acordo com as leis aplicveis, regulamentos, licenas e contratos para o negcio, bem como os princpios ticos que deve ser seguidos pela organizao.
Para fins desta pesquisa, o atributo Legalidade ser entendido como informao que est alinhada s normas, leis e regras que regem o processo ao qual est relacionada.
2.5
Normas e Padres de Segurana da Informao
2.5.1 AS/NZS 4360:2004
A AS/NZS 4360 uma norma Australiano-Neozelandesa que fornece uma estrutura genrica para estabelecer os contextos e para a identificao, anlise, avaliao, tratamento, monitoramento e comunicao de riscos (AS/NZS, 2004).
28
necessrio destacar que essa norma no entende o risco somente como evento danoso organizao. Entre seus objetivos h orientaes para que as organizaes possam:
a. Identificar melhor oportunidades e ameaas b. Tirar proveito de incertezas e variabilidades
Isso deixa claro que a norma entende risco como todo evento ao qual a organizao est propensa, sejam eles positivos ou negativos. Ohtoshi (2008) ressalta que a principal caracterstica da AS/NZS 4360 avaliar tanto os riscos com resultados positivos (ganhos potenciais) quanto os riscos com resultados negativos (perdas potenciais).
Na Figura 2, exposta abaixo, o processo de gesto de riscos conforme a AS/NZS 4360:
Figura 2 Processo de Gesto de risco conforme AS/NZS 4360:2004
29
Comunicao e consulta: importante desenvolver um plano de comunicao para as partes envolvidas, tanto internas quanto externas, logo no incio do processo. Esse plano deve incluir questes relacionadas aos riscos em si e tambm ao processo para a sua gesto. (AS/NZS, 2004)
Estabelecimento dos contextos: define os parmetros bsicos nos quais os riscos devem ser gerenciados e define o escopo para o restante do processo de gesto de riscos. (AS/NZS, 2004) A norma ainda ressalta a importncia de se garantir que a gesto de riscos leve em considerao o ambiente organizacional e o ambiente externo.
Identificao de riscos: o objetivo desta etapa identificar os riscos a serem gerenciados e gerar uma lista abrangente das fontes de riscos e eventos que possam ter um impacto na consecuo de cada um dos objetivos identificados nos contextos. Esses eventos podem impedir, atrapalhar, atrasar ou melhorar a consecuo desses objetivos. (AS/NZS, 2004) A norma torna a ressaltar que o risco pode melhorar a consecuo desses objetivos, ou seja, ter efeito positivo sobre a organizao.
Anlise de riscos: refere-se busca da compreenso do risco, envolve a considerao das fontes de riscos, suas consequncias positivas e negativas e a probabilidade de que tais consequncias possam ocorrer. Um risco analisado combinando as consequncias e as probabilidades de ocorrncia. (AS/NZS, 2004)
Tratamento de riscos: envolve a identificao das diversas opes para tratar os riscos, a anlise e a avaliao dessas opes, e a preparao e implementao de planos de tratamento. (AS/NZS, 2004) Nesta parte a norma apresenta dois tpicos especficos, que ressaltam sua principal caracterstica, so eles: 3.6.2 Identificao das opes para o tratamento de riscos com resultados positivos e 3.6.3 Identificao das opes para o tratamento de riscos com resultados negativos, onde so descritas algumas das opes para o tratamento dos riscos positivos e negativos, respectivamente.
30
Monitoramento e anlise crtica: essencial para assegurar que o plano de gesto se mantenha pertinente, e tambm incluem as lies aprendidas com o processo de gesto de riscos, atravs da anlise critica dos eventos, dos planos de tratamento e de seus resultados. (AS/NZS, 2004)
A norma traz ainda um capitulo dedicado a descrever como desenvolver, estabelecer e manter uma gesto de riscos sistemtica em uma organizao, informando quais documentos devem ser gerados por uma organizao que v implementar gesto de riscos.
2.5.2 ABNT NBR ISO/IEC 17799 A norma NBR ISO/IEC 17799 (ABNT, 2005) Segurana da informao Cdigo de prticas para a gesto de segurana da informao padro de origem britnica. Surgiu como BS7799 parte1 (BS, 1999), foi adaptada s necessidades internacionais e renomeada como NBR ISO/IEC 17799 (ABNT, 2005), conforme contextualiza Ohtoshi (2008) sobre a criao/edio desta norma.
Esta norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. (ABNT, 2005), ou seja, apresenta um cdigo de prticas para a gesto de riscos, apontando os objetivos que devem ser alcanados durante todo o processo de implementao da GRSI.
O prprio corpo da norma j trazia a informao que a partir do ano de 2007 a norma seria incorporada ao novo esquema de numerao como ISO/IEC 27002.
2.5.3 ABNT NBR ISO/IEC 27001
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI) (ABNT,2006) e para tal a norma adota o modelo conhecido como PDCA (Plan Do Check Act):
31
Figura 3 O PDCA conforme a ISO/IEC 27001 (ABNT, 2006)
A norma ISO 27001 inclui entre outras recomendaes a implementao e a operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao (ABNT, 2005). A norma ainda ressalta que suas recomendaes so abrangentes, podendo ser adotadas por organizaes de qualquer tamanho, independente de seu tipo ou natureza.
Conforme Melo (2008):

Aps implantar um sistema de gesto da segurana da informao, a empresa estar prepara para agir pr-ativamente, antecipando riscos, planejando e implementando solues, medindo resultados e melhorando
32
continuamente a segurana, um de seus principais patrimnios a informao.
Desta forma, o autor justifica a necessidade de implementao do sistema de gesto de segurana da informao, cujas especificaes de como implementar so apresentadas pela norma 27001:2006.
Esta norma equivale ISO/IEC 17799:2005, que foi renomeada para se adequar ao padro de identificao da famlia de normas 27000, que inclui normas sobre requisitos de sistema de gesto de segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao.
Ento conforme a norma original (17799:2005) a 27002 mantm o objetivo de estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao (ABNT, 2006).
A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo de gesto de riscos em segurana da informao, podendo ser aplicada a todos os tipos de organizao que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao. (ABNT, 2008) Conforme Silva (2009) O processo descrito pela norma harmonicamente sincronizado com o ciclo de melhoria continua PDCA utilizado em um SGSI conforme a ISO/IEC 27001. E ressalta ainda que o processo pode ser usado de forma independente, permitindo a avaliao de riscos de um projeto, por exemplo.
33
a norma ISO/IEC 27005 que descreve o processo de gesto de riscos de segurana da informao e que apresenta as diretrizes para o mesmo, sendo esta norma que norteia todo o texto apresentado a frente sobre a Gesto de Riscos.
Esta norma fornece princpios e diretrizes genricas para a gesto de riscos. (ABNT, 2009). A Norma ressalta que organizaes de todos os tipos e tamanhos enfrentam influencias e fatores internos e externos que tornam incerto se e quando elas atingiro seus objetivos. (ABNT, 2009) Esta incerteza o risco que deve ser gerenciado pela organizao, considerando que todas as suas atividades so envoltas em risco. Cabe organizao buscar formas de gerenciar o risco.
A norma pode ser aplicada a qualquer tipo de risco, independente de sua natureza, quer tenha consequncias positivas ou negativas (ABNT, 2009). importante frisar que a ISO 31000, trata o conceito de risco de forma prxima AS/NZS 4360, ou seja, entende o risco como evento que possa ter impacto positivo ou negativo sobre as atividades da organizao.
Embora todas as organizaes gerenciem os riscos em algum grau, esta norma estabelece um nmero de princpios que precisam ser atendidos para tornar a gesto de riscos eficaz. (ABNT, 2009) So princpios genricos, mas que tem por funo criar a estrutura mais adequada para que se alcance o sucesso na implantao do processo de gesto de riscos de segurana da informao na organizao.
2.6
Gesto de Riscos
2.6.1 Definio de Gesto de Riscos Melo (2008) afirma que risco considerado um evento incerto ou de data
incerta que independe da vontade dos envolvidos, sendo um elemento de incerteza que pode afetar a atividade. Desta forma toda organizao que se preocupa com
34
seus ativos, aqui especificamente, com as informaes sob sua salvaguarda deve estar preparada para assegurar a disponibilidade, a integridade, a confidencialidade e todos os outros atributos ligados s suas informaes. Essa preparao deve ocorrer, obviamente, antes da ocorrncia do evento. Conforme Oliveira (2001), risco a probabilidade de uma ameaa explorar vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da organizao. Aqui o autor j vai alm do evento incerto e j trata o risco como a probabilidade de alguma ameaa externa organizao aproveitar-se das vulnerabilidades internas da mesma para causar perdas ou danos, ou seja, para atacar a disponibilidade, a integridade ou quaisquer outros atributos daquela informao.
Com os conceitos acima apresentados fica clara a necessidade de que as organizaes busquem meios para lidar com os riscos que ameaam seus ativos, este meio chamado de Gesto de Riscos. Conforme Melo somente aps a informao estar disponvel deve -se gerenciar o risco, pois uma estrutura catica, sem conhecimento do que existe, no pode ser gerenciada e, consequentemente, o risco no pode ser medido. Ainda segundo Melo, Basicamente distinguimos dois elementos quando tratamos de risco: a possibilidade de ocorrncia e o impacto ocasionado pela ocorrncia do evento. Descreve, desta forma, parte do que se entende como Gesto de Riscos: a necessidade de se definir o contexto envolvido, conhecer o risco e decidir como tratar o risco.
Gesto de riscos ainda pode ser definida como: um processo aplicado no estabelecimento de estratgias formuladas para
identificar na organizao eventos em potencial, capazes de afet-la, e administrar os riscos de modo a mant-los compatveis com a tolerncia da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos. (COSO, 2004, p.4) o processo por meio do qual as organizaes analisam metodicamente os riscos inerentes s suas respectivas atividades, com o objetivo de atingirem
35
uma vantagem sustentada em cada atividade individual e no conjunto de todas as atividades. (FERMA, 2003, p.3)
2.6.2 Termos Relacionados Gesto de Riscos
Abaixo sero apresentadas as definies de termos relacionados Gesto de Riscos adotados nesta pesquisa. importante promover este ajuste, dada a gama de definies existentes para os mais diversos contextos. As definies abaixo foram retiradas da Norma Complementar NC4 do Departamento de Segurana da Informao e Comunicaes (GSI, 2009), doravante tratada apenas por NC4:
a. Ameaa conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao; b. Anlise de riscos uso sistemtico de informaes para identificar fontes e estimar o risco; c. Anlise/avaliao de riscos processo completo de anlise e avaliao de riscos; d. Ativos de Informao os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso; e. Avaliao de riscos processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco; f. Comunicao do risco troca ou compartilhamento de informao sobre o risco entre o tomador de deciso e outras partes interessadas; g. Estimativa de riscos processo utilizado para atribuir valores probabilidade e consequncias de um risco; h. Evitar risco uma forma de tratamento de risco na qual a alta administrao decide no realizar a atividade, a fim de no se envolver ou agir de forma a se retirar de uma situao de risco; i. Gesto de Riscos de Segurana da Informao e Comunicaes conjunto de processos que permite identificar e implementar as medidas de proteo
36
necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos; j. Identificao de riscos processo para localizar, listar e caracterizar elementos do risco; k. Reduzir risco uma forma de tratamento de risco na qual a alta administrao decide realizar a atividade, adotando aes para reduzir a probabilidade, as consequncias negativas, ou ambas, associadas a um risco; l. Reter risco uma forma de tratamento de risco na qual a alta administrao decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado; m. Riscos de Segurana da Informao e Comunicaes potencial associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da organizao; n. Transferir risco uma forma de tratamento de risco na qual a alta administrao decide realizar a atividade, compartilhando com outra entidade o nus associado a um risco; o. Tratamento dos riscos processo e implementao de aes de segurana da informao e comunicaes para evitar, reduzir, reter ou transferir um risco; p. Vulnerabilidade conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organizao, os quais podem ser evitados por uma ao interna de segurana da informao.
37
2.6.3 Componentes do Risco
a) AMEAA
Galvo, 2006 apud Melo, 2008 afirma que ameaa qualquer circunstncia ou evento com o potencial de causar impacto sobre a confidencialidade, integridade ou disponibilidade de informao ou sistemas de informao. Segundo Silva (2009), as ameaas podem ser de origem humana de natureza acidental ou intencional ou, ainda, de origem ambiental.
Para efeitos desta pesquisa, ameaa ser entendida como circunstncia ou evento externo organizao que se utilize de uma vulnerabilidade para gerar danos ou perdas organizao.
b) IMPACTO Segundo Smola (2003), o Impacto a abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos de negcio. Objetivamente, o conjunto de perdas e danos assimilados pela organizao aps a efetiva ocorrncia de algo que at ento era somente uma ameaa. Silva (2009) afirma que o impacto uma mudana adversa no nvel obtido dos objetivos de negcios. Para efeitos desta pesquisa ser adotado o te rmo impacto para fazer referncia aos danos e perdas decorrentes de incidentes de segurana.
c) INCIDENTE
Conforme Smola (2003) Incidente o fato ou evento decorrente da ao de uma ameaa, que explora uma ou mais vulnerabilidades, levando perda de princpios da segurana da informao. Desta forma o autor expe que incidente a ocorrncia daquilo que at ento era tratado como ameaa, quando a probabilidade de ocorrncia deixa de ser possibilidade e passa a ser realidade.
38
d) VULNERABILIDADE O conceito adotado por Melo (2008) afirma que Vulnerabilidade a fraqueza que pode ser explorada em um sistema de informao que pode envolver pessoas, processos ou tecnologia. Conforme a ISO/IEC 27005 a Vulnerabilidade a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
Outros conceitos acerca da vulnerabilidade poderiam ser elencados, todavia, um deles ser elencado adiante e ser adotado no decorrer desta pesquisa: Vulnerabilidade o conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organizao, os quase podem ser evitados por uma ao interna de segurana da informao (NC4).
2.7
Gesto de Riscos de Segurana da Informao

Conforme a NC4, a Gesto de Riscos de Segurana da Informao e
comunicaes o conjunto de processos que permite identificar e implementar as medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao e equilibr-los com os custos operacionais e financeiros envolvidos. De tal forma a gesto de riscos, a partir das ameaas e vulnerabilidades identificadas no contexto da organizao, visa eliminar ou ao menos minimizar os impactos causados por eventuais incidentes de segurana da informao. Melo (2008) afirma que a gesto de riscos um elemento central que faz parte do planejamento estratgico da organizao e deve ser praticado por todos os nveis da administrao, depreende-se dessa afirmao que a gesto de riscos algo que permeia toda a organizao.
39
Segundo o padro COSO (2004), h duas premissas inerentes gesto de riscos: a primeira que as organizaes existem para gerar valor s partes interessadas. A segunda que todas as organizaes enfrentam incertezas. So essas incertezas que devem ser mapeadas, e outras tantas que podem no ser conhecidas em um primeiro momento, mas que se deve buscar ao mximo anteciplas e se preparar para assegurar a continuidade do negcio.
Dessa forma, para assegurar a continuidade e a segurana do negcio, absolutamente necessrio entender o problema e definir as aes a serem tomadas ao longo do evento, alm de entender que este no um processo esttico e sim dinmico. Deve ser feito, refeito e testado, a fim de que no se repita o evento ou que se diminua a incerteza sobre um impacto, procurando conhecer este risco o mximo possvel, pois o processo iterativo, ou seja, deve ser feito e refeito/melhorado.
2.7.1 Etapas do Processo de Gesto de Riscos Seguem-se as etapas que formam a gesto de riscos:
Figura 4 O processo de gesto de Riscos da ISO27005:2008. Fonte: Fernandes (2009)
40
A Figura 4 ilustra o processo de tratamento de riscos envolvidos no negcio. Estes processos so descritos abaixo:
2.7.1.1 Definio do Contexto Conforme Fernandes (2009), a definio do contexto cria ou ajusta o contexto para execuo da GRSI, ou seja, busca atravs da entrada das informaes organizacionais relevantes definir quais so os critrios bsicos para a Gesto de riscos de Segurana da Informao (doravante tratada somente como GRSI) na organizao para a identificao, avaliao, impacto e aceitao dos riscos. E define ainda qual o escopo e o limite da GRSI, e a organizao para atuar na GRSI. Silva (2009) afirma ainda que a definio do contexto determina o objeto sobre o qual a gesto de riscos vai atuar, concordando com a definio anterior. Logo, nesta fase que ocorre a limitao do que dever ser tratado pela GRSI, de forma a permitir que as prximas fases ocorram dentro de um limite possvel de gerncia e execuo. Conforme Brando, estes critrios envolvem a determinao das
consequncias de segurana e os mtodos usados para a anlise e avaliao dos riscos. Ou seja, a definio de contexto no somente limita o que ser feito e como fazer, como parte impar no resultado e consequente alcance dos objetivos da GRSI.
2.7.1.2 Anlise e Avaliao de Riscos de Segurana da Informao
Aps a definio dos critrios bsicos, do escopo e da organizao dos processos de GRSI, a etapa de anlise e avaliao de riscos de segurana da informao visa identificar, quantificar e priorizar os riscos conforme os parmetros definidos pelos critrios de avaliao de riscos e os objetivos da organizao.
Conforme a ISO 27005:
41
A anlise/avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades aplicveis existentes, identifica os controles existentes e seus efeitos no risco identificado, determina as consequncias possveis, prioriza os riscos derivados e ordena-os de acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto.
Ohtoshi (2008) diz que esta atividade composta por trs subatividades: identificao dos riscos, anlise dos riscos e avaliao dos riscos. Que podem ser descritas da seguinte forma: Identificar os riscos: o objetivo desta atividade determinar os eventos que podem causar perdas para a organizao, o que origina estes riscos e em que ocasies eles podem ocorrer; Analisar os riscos: tem por objetivo entender e descrever quais as possveis consequncias dos riscos, alm da probabilidade de ocorrncia dos mesmos; Avaliar os riscos: a avaliao ocorre a partir da comparao entre os nveis dos riscos e os critrios apontados pela fase de definio do contexto. Ainda conforme Ohtoshi, Se as informaes obtidas forem suficientes para tomar as medidas necessrias para a reduo dos riscos a nveis aceitveis, iniciase o tratamento dos riscos.
2.7.1.3 Tratamento do Risco
Conforme Silva (2010), a partir de uma lista de riscos ordenados por prioridade e associados aos cenrios de incidentes gerados pela atividade de anlise e avaliao de riscos, fomenta-se o subprocesso de tratamento de risco e permite definir o plano de tratamento e os controles para mitigar, reter, evitar ou transferir os riscos. Conforme Fernandes (2009), a sada da fase de tratamento so o plano de tratamento do risco e a lista de riscos residuais, ambos sujeitos deciso de
42
aceitao pelos altos gestores da organizao. Este plano compreende a relao de controles possveis, acompanhadas de seus custos, benefcios e prioridades de implementao (Silva, 2010), ou seja, a comparao entre os riscos identificados, depois de ordenados por prioridade na fase de anlise e agora listados junto s possveis aes, conforme descrito pela fase de definio.
Brando lembra ainda que ao final da fase de tratamento so identificados os riscos residuais, e que se tais riscos no forem aceitveis, os tratamentos podem se refeitos ou, ainda, todo o processo de gesto de riscos pode ser revistos. queles riscos que sero aceitos, podem ser definidos quatro opes de tratamento:
Reduo do Risco: consiste na tomada de aes para reduzir a probabilidade, as consequncias negativas, ou ambas, associadas a um risco. (ABNT, 2005) Fernandes (2008) afirma que a reduo envolve a adoo de controles. E lembra que tambm chamada de mitigao. Silva (2009) ressalta que os controles podem forne cer os seguintes tipos de proteo: correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
A ISO 27005 enfatiza ainda a necessidade de se encontrar uma soluo que ao mesmo tempo garanta um nvel eficiente de segurana da informao, mas que satisfaa os requisitos de desempenho dos sistemas e processos envolvidos durante a aplicao dos controles.
Reteno do Risco: conforme Fernandes (2008) a reteno de risco a deciso de reter ou aceitar o risco sem aes subsequentes (no confundir com a fase de aceitao do risco). Para tal, o autor ainda afirma que se deve considerar que, se os riscos so compatveis com os critrios de aceitao do risco, no h necessidade de implementar mais controles. Ento o risco dever ser retido. Silva (2009) ainda afirma que reteno a aceitao do nus da perda ou do beneficio do ganho associado a um determinado risco, todavia no
43
contexto dos riscos de segurana da informao, somente consequncias negativas so consideradas. Logo, a reteno do risco uma deciso tomada considerando-se a avaliao do risco.
Ao de Evitar o Risco: a deciso de no se envolver ou agir de forma a se retirar de uma situao de risco (Silva, 2009). Neste caso a organizao evita a atividade ou contexto que origina o risco. Conforme Fernandes (2008) uma deciso de evitar o risco
completamente pode ser tomada quando os riscos so excessivamente elevados ou os custos de implementao de outras opes excedem os benefcios.
Transferncia do Risco: a transferncia de um risco para outra entidade externa organizao que possa gerenci-lo de forma mais eficaz (Silva, 2009). Essa transferncia pode criar novos riscos ou gerar novos, logo, uma nova iterao do processo de GRSI pode tornar-se necessria.
Fernandes (2008) ressalta ainda que a transferncia de risco envolve a deciso de compartilhar certos riscos com parceiros externos. E ainda afirma que a transferncia pode ser feita por meio da contratao de seguros ou subcontratao de um parceiro especializado no tratamento daquele tipo de risco.
2.7.1.4 Aceitao do Risco
Conforme Brando, a aceitao do risco feita a partir da anlise do risco residual. Brando lembra ainda que conveniente que a deciso de aceitar os riscos seja formalmente registrada, junto com a reponsabilidade pela deciso.
Fernandes (2008) afirma que a aceitao do risco a fase da gesto de riscos que compreende o registro formal da deciso pelo aceite dos riscos residuais
44
existentes na organizao e que esta deciso tomada pelo gestor responsvel pelo escopo do risco.
Este processo tem como entrada o plano de tratamento de riscos e a avaliao de riscos residuais, ambas sujeitas aprovao. O produto desse processo a relao dos riscos aceitos acompanhada das justificativas para aqueles que no atenderam aos critrios normais para aceitao do risco. (ABNT, 2008)
2.7.1.5 Monitorao e Anlise Crtica de Riscos
De acordo com a ABNT NBR ISO/IEC 27005:2008, convm que os riscos e seus fatores sejam monitorados e analisados criticamente, a fim de se identificar as eventuais mudanas no contexto organizacional e manter uma viso geral. Desta forma, a monitorao e a anlise crtica dos riscos so partes essenciais da gesto de riscos.
Conforme Brando, os riscos no so estticos e devem ser monitorados a fim de verificar a eficcia das estratgias de implementao e dos mecanismos de gerenciamento utilizados no tratamento dos riscos. Fernandes (2008) define ainda que esta fase envolve um conjunto de atividades continuamente executadas e o monitoramento de diversos fatores de caracterizao do risco, a fim de identificar quaisquer mudanas no contexto da organizao, atualizar o panorama de riscos da organizao e aprimorar o processo de gesto de riscos da organizao.
Silva (2009) divide o processo em duas atividades, explicadas pelo autor de forma resumida:
Monitoramento e anlise crtica dos fatores de risco: Os componentes do risco, isto , valor dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia, devem ser monitorados e analisados criticamente para detectar qualquer mudana no contexto da organizao. Dado que os riscos no so estticos a monitorao e anlise critica
45
sobre seus componentes se faz necessria para a percepo de indicadores do comportamento do risco. Monitoramento, anlise crtica e melhoria do processo de gesto de risco: o processo de gesto de riscos deve ser continuamente monitorado, analisado criticamente e melhorado. As atividades e os resultados do processo de gesto de risco devem ser acompanhados para verificar se permanecem apropriados para as circunstancias da organizao.
2.7.1.6 Comunicao do Risco
Conforme Fernandes (2008), a comunicao de risco um conjunto de atividades continuamente executadas que envolvem a troca de informaes sobre riscos entre os tomadores de deciso e todos os envolvidos na organizao. Para Silva (2009) a comunicao do risco preconiza o compartilhamento contnuo das informaes referentes aos riscos entre as partes interessadas durante todo o processo de gesto de riscos. A meta dessa atividade o entendimento continuo do processo de GRSI e dos resultados obtidos.
Logo, o objetivo da atividade comunicao do risco assegurar um consenso e um bom entendimento sobre como os riscos devem ser gerenciados, o porqu de determinadas decises e os motivos de certas aes. (ABNT, 2008)
2.8
Referenciais Conceituais das Disciplinas do CEGSIC

Todas as organizaes existem para cumprir uma misso. Alguns sistemas
presentes numa organizao so crticos para o cumprimento dessa misso. Estes sistemas so chamados de sistemas de misso crtica, pois se deixam de cumprir sua funo por algum motivo ento a misso da organizao imediatamente comprometida (Fernandes, 2010a), a partir do conceito apresentado entende-se que a misso das organizaes so diretamente impactadas por alguns de seus sistemas.
46
Os sistemas de informao so criados no interior de uma organizao com a funo de gerir a informao em benefcio da organizao, garantindo que os processos de trabalho na organizao sero realizados de forma controlada e previsvel. (Fernandes, 2010a) O autor ressalta a importncia dos sistemas para as rotinas das organizaes, principalmente no que diz respeito gerncia da informao. Veneziano (2010) conceitua informao como um conjunto de dados organizados e referenciados de modo tal que fazem sentido ou possuem utilidade para algum. necessrio fazer com que uma informao sempre seja preciosa, completa, econmica, flexvel, confivel, relevante, simples, pontual, verificvel, acessvel e segura. O autor listou uma srie de caractersticas inerentes informao, que devem ser geridas por sistemas de informao em beneficio da organizao proprietria dessa informao. Veneziano (2010) continua ainda afirmando que diante da importncia que determinados sistemas de informao adquiriram para a sociedade, imperioso dot-los de nvel adequado de segurana. Logo, se a informao deve ter su as caractersticas preservadas, e essas informaes so o que garantem que os processos e sistemas crticos funcionem adequadamente, faz-se necessria a utilizao de controles e dispositivos que garantam a segurana da informao.
Fernandes (2010b) afirma que a adoo de controles de segurana depende de aes de planejamento e controle, e que estes so parte essencial da autorregulao realizada pela gesto da organizao. O planejamento e controle a fim de implementar a gesto da segurana da informao visam garantir as caractersticas da informao faze a eventos e incidentes de segurana da informao. Segundo a ABNT (2005) um incidente de Segurana da informao indicado por um simples evento ou uma serie de eventos de segurana da informao indesejados ou inesperados, que tenham grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.
Desta forma, a incerteza da possibilidade de ocorrncia de um evento ou incidente de segurana da informao deve ser gerida pela organizao a fim de se
47
gerar uma ao proativa frente a esta incerteza. E a est incerteza se d o nome de Risco de segurana. Em Fernandes (2010b) o risco de segurana definido com um evento possvel e potencialmente danoso a uma organizao, is to , um evento hipottico, que possui chance de ocorrncia futura que no nula e que apresenta impacto negativo significante.
A gesto de riscos de segurana um processo sistemtico da gesto organizacional que determina a aplicao equilibrada de controles de segurana nessa organizao, diante do seu perfil de riscos de segurana (Fernandes, 2010b). De tal forma que a gesto de riscos de segurana da informao que tem por funo encontrar a melhor maneira de lidar com os riscos que envolvem a organizao. A ISO/IEC 27005 a norma base utilizada na implementao de gesto de riscos, pois a mesma descreve um processo genrico para a gesto de riscos, que pode ser utilizado por organizaes de qualquer porte ou finalidade, atendendo s especificaes da norma ABNT NBR ISO/IEC 27001:2006. O processo de Gesto de riscos ocorre tal qual j descrito neste trabalho.
48
3 Metodologia
3.1
Metodologia da pesquisa bibliogrfica

A presente pesquisa constituda por duas partes. A primeira parte refere-se
pesquisa bibliogrfica, feita a partir de uma abordagem terica para a organizao do conhecimento sobre Gesto de Riscos, principalmente no que se refere Anlise/Avaliao dos riscos de segurana da informao. O objetivo desta primeira parte conhecer o tema proposto e condensar parte do conhecimento adquirido. importante ressaltar que a pesquisa bibliogrfica no a mera repetio do que j foi escrito sobre o tema, mas sim a explorao do tema sob a perspectiva desta pesquisa. Conforme Marconi (2002) a pesquisa bibliogrfica propicia o exame de um tema sob um novo enfoque ou abordagem, podendo chegar a concluses inovadoras.
Primeiramente foram abordados temas referentes informao e ao ciclo de vida da informao como introduo Segurana da Informao, tema tratado na sequencia, junto das principais caractersticas da informao. Seguiu-se abordando as normas que tratam do tema Gesto de Riscos, tais como: AS/NZS 4360, ISO/IEC 17799, 27001, 27002, 27005 e 31000. Em seguida o estudo voltou-se especificamente ao tema da presente pesquisa: Gesto de Riscos de Segurana da Informao, abordando tanto os conceitos bsicos quanto o processo em si, ambos luz da ABNT NBR ISO/IEC 27005. Conclui-se a pesquisa utilizando os referenciais conceituais das disciplinas do presente Curso de Especializao em Gesto de Segurana da Informao e Comunicaes.
49
3.2
Metodologia para aplicao dos conceitos

Com a finalidade de exemplificar a aplicao dos conceitos apresentados, foi
definida como contexto de estudo uma organizao fictcia. Trata-se do CPDF Centro de Processamento de Dados do Distrito Federal.
O CPDF uma organizao que tem por foco a disponibilizao de ambientes computacionais onde esto hospedadas mais de 200 aplicaes baseadas nas mais diversas tecnologias, tais como: JAVA, PHP, ASP, Oracle, PostgreSQL. Suportando essas tecnologias h ambientes Windows e Linux (Debian e Red Hat) rodando em servidores Dell modernos e mquinas legadas, ambas em plataforma baixa, ou seja, sem a utilizao de mainframes.
Quanto utilizao, h aplicativos hospedados destinados Intranet da rede dos clientes e aplicativos que so acessados pelo pblico em geral.
3.2.1 Definio do Escopo 3.2.1.1 Identificao da Organizao
Empresa pblica: atende demandas do Estado brasileiro, no que diz respeito hospedagem de aplicaes, disponibilizando toda a estrutura necessria para seu funcionamento.
3.2.1.2 Misso
Fornecer solues em Tecnologia da Informao e Comunicaes para a execuo e aprimoramento dos servios prestados pelo Estado Brasileiro.
3.2.1.3 Viso
Ser o principal provedor de solues tecnolgicas para a gesto das informaes e dos registros civis da populao brasileira.
50
3.2.1.4 Valores
Dentre os principais valores destacam-se: a. Resultado - Pensamento e ao orientados para a realizao dos objetivos definidos; b. Qualidade - Busca permanente da excelncia dos produtos e servios; c. Inovao - Priorizao de solues novas e criativas apoiadas em tecnologias atualizadas; d. Integridade - Honestidade, franqueza e respeito ao indivduo; e. Transparncia - Ao que explicita com clareza e veracidade o posicionamento adotado e os motivos da tomada da deciso; f. Conhecimento - Desenvolvimento das competncias pela socializao do saber; g. Flexibilidade - Promoo de adaptaes s mudanas necessrias; h. Satisfao - Criao de ambientes favorveis ao desenvolvimento das pessoas e interpessoal; i. Profissionalismo - Exerccio profissional apoiado na seriedade e nos valores do trabalho; j. Comprometimento - Assumir riscos e responsabilidades resultantes de decises compartilhadas;
3.2.1.5 Organograma
51
Figura 5 Organograma do CPDF
3.2.1.6 Objetivos Estratgicos
Os objetivos estratgicos so: a. Garantir solues providas em ambiente tecnolgico integrado, seguro e de alto desempenho; b. Institucionalizar o processo e a cultura de planejamento estratgico orientado a resultados; c. Gerenciar infraestrutura tecnolgica segura, contingenciada, atualizada e com altos desempenho e disponibilidade; d. Aperfeioar o processo de controle interno e a relao institucional com os rgos de controle; e. Alcanar a excelncia tecnolgica em reas estratgicas; f. Aperfeioar processos e atualizar os instrumentos normativos; g. Atrair e desenvolver competncias tcnicas e gerenciais; h. Adequar o desenho organizacional da empresa aos novos desafios.
52
3.2.1.7 Localidade
O CPDF est localizado no Setor de Autarquias Sul (SAUS), rea central de Braslia, prximo aos seus principais clientes (ministrios e outros rgos pblicos).
3.2.1.8 Limites de Escopo
A gesto de riscos ser limitada aos ativos computacionais da organizao, dado que so estes ativos que do o suporte necessrio para as solues em ambientes computacionais providas pela organizao aos seus clientes.
3.2.1.9 Ativos Listados
Os ativos selecionados so: a. Servidores Windows e Linux voltados para suporte de aplicaes; b. Servidores Oracle, POSTGRESQL e SQLSERVER voltados para suporte de bases de dados; c. Switches, roteadores, firewalls e outros equipamentos necessrios ao funcionamento da rede;
3.2.1.10 Expectativas das Partes Interessadas
Os clientes da organizao esperam que os ambientes contratados alcancem os ndices de disponibilidades acordados, realizando os objetivos e metas descritos em seus contratos;
Os funcionrios da organizao esperam obter as diretrizes e ferramentas necessrias para manterem os ambientes em funcionamento, atendendo os clientes no menor prazo possvel e garantindo que os servios que atendem populao no sejam impactados.
53
3.2.2 Critrios Bsicos
Os critrios estabelecidos na anlise so estabelecidos previamente com base nas caractersticas de cada ativo analisado.
Nesta pesquisa foi utilizada a abordagem qualitativa para a anlise e a avaliao dos riscos, pois, conforme Silva (2009), as vantagens dessa abordagem em relao abordagem quantitativa do risco so a facilidade de compreenso pelas pessoas envolvidas, a rapidez e o baixo custo de aplicao. No exemplo de aplicao, a preferncia foi apresentar uma abordagem global em relao ao ambiente, ou seja, sem focar em nenhum ativo especificamente, mas com uma viso holstica do ambiente organizacional.
I.
Critrios para Avaliao de Riscos:
Para que o processo de anlise e avaliao seja feito, necessrio definir os critrios de riscos, que conforme a ISO/IEC 27005, podem ser de trs tipos: critrios para avaliao de riscos, critrios de impacto e critrios para aceitao de riscos.
Os critrios para avaliao de riscos so utilizados para determinar as prioridades de tratamento dos riscos. Servem para especificar os riscos que so considerados mais significativos para a organizao (Silva, 2009). Para isso devem ser cruzadas as informaes de vulnerabilidades e ameaas. Podem ser verificados respectivamente, nas Tabelas 1 e 2.
Desta forma, ficam assim definidos os critrios para a avaliao de riscos na aplicao proposta nesta pesquisa:
a. A Tabela 7 ser utilizada para a avaliao dos riscos; b. A Tabela 8 ser utilizada para a priorizao dos riscos; c. Os cenrios que envolverem Nveis de Riscos mais elevados sero verificados com prioridade;
54
d. Os riscos que envolvam perda de Propriedades bsicas da informao (Disponibilidade, Integridade, Confidencialidade, Autenticidade, No Repdio ou Legalidade) sero considerados como Riscos Graves. e. Os riscos que impliquem em dano imagem ou reputao da organizao ou de seus clientes sero considerados graves.
II.
Critrio de Vulnerabilidade
H vrias formas e critrios para estabelecer o Nvel de Vulnerabilidade. O critrio adotado nesta pesquisa foi a facilidade de explorao da vulnerabilidade. Segundo este critrio, quanto maior for a facilidade, maior ser o risco.
Critrio
Facilidade de Explorao da Vulnerabilidade Vulnerabilidades de difcil explorao. B (1) Existe a necessidade de um amplo conhecimento tcnico ou de uma grande capacidade de processamento para sua explorao. Vulnerabilidades recm-descobertas e/ou que precisam de certo conhecimento tcnico para sua explorao. Vulnerabilidades facilmente exploradas e de amplo conhecimento. A (3) Em alguns casos, h ferramentas prprias ou tutoriais para sua explorao. Tabela 1 Critrio de Vulnerabilidade Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
Nvel da Vulnerabilidade (NV)
M (2)
III.
Critrio de Ameaa
O critrio adotado para classificar a ameaa foi a frequncia de ocorrncia da ameaa. As ameaas que ocorrem com frequncia diria so consideradas de alto valor. Aquelas que ocorrem menos de quatro vezes ao ano so consideradas de valor baixo.
55
Critrio B (1) Nvel da Ameaa (NA) A (3)
Frequncia da Ameaa Ameaas com uma frequncia varivel, mas que no ultrapassa trs ocorrncias por ano. Ameaas com uma frequncia varivel, mas que no ultrapassa trs ocorrncias por ms. Ameaas comuns que ocorrem rotineiramente no cotidiano da instituio. Tabela 2 Critrio de Ameaa Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
M (2)
IV.
Critrio de Impacto O Critrio de Impacto determina a gravidade das consequncias de um
incidente, so desenvolvidos em funo do valor de reposio do ativo e da consequncia para organizao relacionada perda do ativo (Silva, 2009). Em vez do Valor de Reposio pode ser utilizado o Tempo de Retorno Atividade do ativo envolvido, critrio este que foi o adotado nesta pesquisa. Os Critrios de Impacto podem ser verificados na Tabela 3;
Critrio B (1) Tempo Mximo de Indisponibilidade M (2) A (3)
Tempo de Indisponibilidade Mximo Menos de 1 ms Menos de 1 semana Menos de 1 hora
Tabela 3 Critrio de Impacto Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
V.
Critrio para Aceitao do Risco O Critrio para Aceitao do Risco depende dos marcos legais, politicas, metas e objetivos da organizao (Silva, 2009). Para tal, uma organizao deve desenvolver escalas prprias para nveis de aceitao de riscos (ABNT, 2007). Verifica-se a definio destes critrios na Tabela 4.
56
Nvel do Risco A (18-27)
Descrio A maioria dos objetivos no pode ser atingida. Paralisao dos servios populao. Dano grave a imagem do hospital e do governo.
Aceitabilidade Inaceitvel, requer ao imediata para manejar o risco.
Excees
Observaes
M (8-12)
Alguns objetivos no podem ser atingidos. Alguns processos podem ser afetados.
No pode ser aceito, requer ao para manejar o risco.
B (1-6)
Efeitos menores que so facilmente remediados
Risco aceitvel, nenhuma ao requerida.
Justificativa das excees Tabela 4 Critrio para Aceitao de Riscos Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
3.2.3 Anlise/Avaliao de Riscos
A anlise de risco com enfoque de alto nvel surge da visualizao da organizao de forma mais abrangente e generalista, evitando o aprofundamento da avaliao do risco. A abordagem adotada nesta pesquisa qualitativa. O valor do Nvel de Risco (NR) obtido pela multiplicao de trs fatores: Nvel de Vulnerabilidade (NV), Nvel de Ameaa (NA) e Nvel de Impacto (NI), conforme a seguinte Equao do Risco:
NR = NV x NA x NI;
57
Os valores de NR podem ser vistos na Tabela 5, Tabela de Anlise de Riscos, com a classificao do nvel de risco a que determinado ativo est sujeito, dentro de determinado cenrio.
Tabelas de Referencia
1) Matriz de Risco
NA (Nvel da Ameaa) NV (Nvel da Vulnerabilidade) B (1) NI (nvel do impacto) M (2) A (3) B (1) 1 2 3 Baixa (1) M (2) 2 4 6 A (3) 3 6 9 B (1) 2 4 6 Mdia (2) M (2) 4 8 12 A (3) 6 12 18 B (1) 3 6 9 Alta (3) M (2) 6 12 18 A (3) 9 18 27
Tabela 5 Matriz de Risco Fonte: Ramos, 2006.
A Tabela 5, Matriz de Risco, permite calcular o risco, resultante do produto NVxNAxNI. O valor assim obtido permite identificar o Nvel do Risco, conforme a Tabela 6.
2) Classificao do Risco
Nvel do Risco Risco Baixo Risco Mdio Risco Alto Valor do Risco De 1 a 6 De 8 a 12 De 18 a 27
Tabela 6 Classificao do Risco Fonte: Ramos, 2006.
A anlise de riscos com enfoque de alto nvel generalista, tem uma viso dos ativos de forma mais ampla. Para que a anlise de riscos seja efetuada necessrio que sejam identificados os ativos envolvidos e os contextos possveis para cada um, ou seja, quais so suas vulnerabilidades e a que riscos esto expostos. A sistematizao desse levantamento pode ser visualizada na Tabela 6,
58
na qual constam: o nmero de identificao do ativo, o cenrio no qual est envolvido, ou seja, informa qual a vulnerabilidade associada ao ativo, a quais ameaas este ativo est sujeito e qual impacto da ocorrncia de um incidente envolvendo este ativo.
Conforme os nveis de vulnerabilidade, ameaas e incidentes previamente definidos (Tabelas 1, 2 e 3), os valores para cada um destes atributos escalonado na tabela, finalizando assim a identificao dos ativos e riscos envolvidos.
59
4 Resultados
A Tabela 7 contm uma lista com os ativos identificados dentro do escopo definido previamente. Alm dos ativos, essa tabela contm as vulnerabilidades, as ameaas e os riscos associados a cada ativo. Esses valores permitem calcular o risco a que cada ativo est submetido: 3) Tabela de Anlise do Risco ANLISE DE RISCOS Identificao dos Riscos ID Ativo Vulnerabilidade Ameaa Impacto Estimativa dos Riscos NV NA NI NR (Nvel de Risco)
3
Sala de servidores
Possui controles contra incndio
Incndio
Indisponibilidade dos servios de rede e sistemas
60
Sala de servidores Sala de servidores
Sala localizada no subsolo
Inundao
Indisponibilidade dos servios de rede e sistemas Perda de: Confidencialidade e Integridade Perda de: Confidencialidade Integridade e Disponibilidade
1 1 3 3
No sala cofre Falta de politica de atualizaes do sistema operacional Windows 2003 Server
Engenharia social Vulnerabilidades conhecidas podem ser exploradas com facilidade O arquivo de log de aplicativos pode ficar muito grande e causar instabilidade no sistema e ate mesmo torn-lo indisponvel por falta de espao em disco Limita a gerao de nmeros aleatrios, permitindo que a partir da lista reduzida seja realizado ataque de fora bruta Permite criao de backdoor, que pode ser usada por atacante para ter acesso como root do sistema
12
Microsoft Windows Server 2003
27
Microsoft Windows Server 2003
Tamanho mximo do arquivo de log de aplicativos no configurado adequadamente
Perda de: Disponibilidade
Servidor Linux
Modificao no pacote OpenSSL original
Perda de: Disponibilidade Confidencialidade Integridade
18
Servidor Linux
Vulnerabilidade no kernel, relacionado camada de compatibilidade 3264 bits
Perda de disponibilidade Confidencialidade Integridade
12
61
Servidor de firewall
Equipamento sem contrato de manuteno peridica Suprimento de energia prximo ao limite Falha de segurana que permite sobrecarga do buffer
Defeito no Firewall
Indisponibilidade do acesso Internet Indisponibilidade do acesso Internet
27
Servidor de firewall
Queda de energia Permite a execuo e cdigos maliciosos em servidor web Permite a execuo de cdigo remoto
10
Servidor de Banco Oracle
Perda de Disponibilidade e Integridade Perda de disponibilidade Confidencialidade e integridade Perda de disponibilidade
12
11
Servidor de banco SQL Server
Estouro de buffer na memoria heap
12
12
Servidor de Web Servidor de Web
Servidor de aplicao aberta para Internet Suprimento de energia prximo ao limite Falta de poltica de relatrios
Ataque Hacker
18
13
Queda de energia Relatrio pode sobrecarregar memria do banco de dados Erro Humano
Indisponibilidade do servidor Indisponibilidade do servidor
14
Servidor de banco
12
15
Servidor de Virtualizao
Falta de treinamento adequado
Perda de disponibilidade e integridade
62
16
Servidor de Correio
Equipamento Legado
Falta de capacidade computacional
Indisponibilidade dos servios de correio eletrnico
Tabela 7 Tabela de Anlise de Riscos Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
Nesta fase, verificou-se se a anlise e avaliao de riscos foram satisfatrias, pois identificada a importncia e o impacto relacionados a determinado ativo, pode ser necessria uma segunda iterao do processo de gesto de riscos de maneira mais detalhada.
Se a avaliao de riscos produziu resultados satisfatrios, a fase de anlise/avaliao de riscos dada como concluda. Ao final da avaliao, os riscos foram identificados, estimados e avaliados e produziu-se uma lista de riscos priorizados conforme critrios previamente estabelecidos (Fernandes, 2009). O produto final da avaliao de riscos de segurana da informao pode ser verificado na Tabela 8 que apresenta os riscos ordenados segundo a ordem de prioridade de tratamento.
As opes de tratamento devem ser aplicadas conforme o Nvel do Risco e o critrio estabelecido na fase de definio de contexto, aplicando-se as aes conforme a lista de riscos j priorizados, sendo que conforme maior for o nvel de risco da ameaa em questo quanto antes deve ocorrer o seu tratamento.
Na Tabela 8 est a lista de priorizao do risco, conforme levantamento feito na tabela anterior:
63
4) Tabela de Priorizao do Risco
Prioridade
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
ID
4 8 6 12 7 11 10 14 3 15 13 9 16 5 1 2
Vulnerabilidade
Falta de politica de atualizaes do sistema operacional Windows 2003 Server Equipamento sem contrato de manuteno peridica Modificao n pacote OpenSSL original Servidor de aplicao aberta para Internet Vulnerabilidade no kernel, relacionado camada de compatibilidade 32-64 bits Estouro de buffer na memoria heap Falha de segurana que permite sobrecarga do buffer Falta de poltica de relatrios No sala cofre Falta de treinamento adequado Suprimento de energia prximo ao limite Suprimento de energia prximo ao limite Equipamento Legado Tamanho mximo do arquivo de log de aplicativos no configurado adequadamente Possui controles contra incndio no testados Sala localizada no subsolo Tabela 8 Priorizao dos riscos Fonte: ABNT NBR ISO/IEC 27005 (Com Adaptaes)
Nvel Risco
27 27 18 18 12 12 12 12 12 6 6 6 4 3 3 3
64
5 Discusso
Conforme Ohtoshi (2008) no mundo atual, a dependncia crescente da tecnologia da informao pelas organizaes trouxe consigo uma srie de consequncias. Novas ameaas, riscos e vulnerabilidades surgem a cada dia. A necessidade de se proteger essas informaes atendida atravs da segurana da informao. E como parte do macro processo de segurana da informao existe a gesto de riscos, responsvel por analisar e avaliar os riscos aos quais as organizaes esto expostas, e a partir de processos definidos, propor o tratamento adequado a cada um dos riscos levantados.
A anlise de riscos deve ocorrer de forma sistemtica e organizada, proporcionando um padro que possa ser repetido, e tambm melhorado, nas iteraes necessrias para que a anlise ocorra de forma satisfatria. Entende-se que anlise foi satisfatria quando ela alcanou o nvel de profundidade que consiga equilibrar as necessidades da organizao no que se refere aos riscos sem impactar negativamente no andamento dos negcios da organizao.
necessrio ainda que a organizao busque difundir os conceitos envolvidos na Segurana da informao e Comunicaes, criando metodologias que se adequem sua realidade, ao mesmo tempo em que promove essa metodologia cultura organizacional.
A ISO/IEC 27005 consolida as melhores prticas de mercado no que diz respeito gesto de riscos, descrevendo os processos necessrios para sua
65
aplicao nas organizaes. Cabe s organizaes fazerem uso da norma e buscarem a melhor maneira de seguirem as recomendaes apresentadas no documento. Desta forma proporcionaria o ambiente necessrio para dar o suporte que a organizao requeira.
A aplicao da norma com enfoque de alto nvel proposta neste trabalho busca demonstrar como seria a primeira iterao do processo de anlise de riscos, processo que precisa ser maturado, de forma a proporcionar que a anlise seja o mais fidedigna realidade possvel dentro do escopo definido pela gesto de riscos. Alm disso, a pesquisa vem demonstrar os passos necessrios para que seja feita a anlise de riscos de forma sistemtica com base nos conceitos e prticas apresentadas na norma ISO/IEC 27005.
Levantaram-se alguns ativos necessrios para a continuidade dos negcios da organizao e anlise destes revela que: 25% dos ativos pesquisados esto sujeitos a Riscos altos; 31% dos ativos pesquisados esto sujeitos a Riscos Mdios; e 44% dos ativos pesquisados esto sujeitos a Riscos Baixos.
O grfico abaixo representa as porcentagens descritas acima.
Riscos Altos Riscos Medios Riscos Baixos
Figura 6 - Anlise de Riscos.
66
Percebe-se que desta maneira dos riscos pesquisados mais de 50% no apresentam condies de serem aceitos pela organizao, havendo a necessidade de tratamento destes riscos a fim de mitiga-los ou ao menos minimiz-los.
importante frisar que o mesmo ativo pode estar sujeito a riscos de diferentes nveis ao mesmo tempo. Conforme a tabela de Anlise de riscos a Sala de Servidores tem um risco baixo de sofrer impacto por enchente ou incndio, todavia h a ameaa de engenharia social, ou seja, pelo fato de a sala de servidores no ser uma sala cofre, o seu acesso pode ser facilitado, ou haver uma falha no controle de acesso e isso gerar um impacto alto, com perda de confidencialidade e integridade, caracterizando um risco mdio, conforme matriz de riscos.
O nvel de impacto definido a partir das perdas que ele pode ocasionar, sendo que os impactos maiores incidem na quebra da disponibilidade, integridade e confidencialidade das informaes. A disponibilidade por ser a principal mtrica para os clientes de a organizao conferir se os ambientes contratados esto operacionais. A integridade e a confidencialidade por se tratar de dados de natureza socioeconmica dos cidados brasileiros, salvaguardados pela organizao.
Para que tais caractersticas das informaes em salvaguarda da organizao sejam mantidas e protegidas a organizao deve fazer da gesto de riscos uma disciplina intrnseca cultura organizacional, passando pelos processos de anlise, avaliao e tratamento de riscos vezes repetidas que se faam necessrias. Sempre buscando entender quais so suas vulnerabilidades e tentando minimiz-las, conhecer as ameaas ligadas aos ativos e procurar as melhores maneiras de evitalos, e entender quais os impactos que este cenrio de vulnerabilidade e ameaas podem gerar, para assim, focar seus esforos e recursos nos ativos que tenham maior importncia para a organizao.
Desta forma pode ser proposta a seguinte linha de ao para os Riscos altos e mdios:
67
Prioridade
1
ID
4
Tratamento proposto Criao de poltica de atualizaes para o sistema operacional com definio dos responsveis pelo cumprimento da politica.
Renovao do contrato de manuteno do equipamento, ou capacitao equipamento. de pessoal interno para manuteno no
3 4
6 12
Voltar a utilizar o pacote OpenSSL original. Uso de firewalls fsicos e de software, alm de monitorao para deteco de intruso.
Utilizao de distribuio Linux que j tenha tido a correo da vulnerabilidade disponibizada como estvel.
11
Programao na aplicao e nas querys de banco que evitem ataques de estouro de buffer atravs de SQL injection.
10
Atualizao do sistema para verso com vulnerabilidade corrigida e monitorao dos SGBDs.
14
Criao
de
poltica de
relatrios e
conscientizao
de
desenvolvedores e clientes do impacto de emisso de relatrios extensos.

9 3
Compra e instalao de Sala cofre. Tabela 9 Proposta de tratamento de riscos
A pesquisa comprova que a organizao descrita na pesquisa no possui a anlise sistemtica de riscos implementada. Aps a primeira iterao da anlise de riscos feita nesta pesquisa, configura-se a necessidade de que o processo seja repetido e aprofundado, buscando proporcionar organizao as informaes necessrias para a melhor tomada de deciso. Confirma-se assim a hiptese que a organizao no adota um processo sistemtico para a anlise de riscos. A identificao e a quantificao do risco so essenciais para que se adote as melhores medidas de segurana da informao e comunicaes. Desta forma, esta pesquisa ser apresentada aos responsveis pela organizao real que inspirou a organizao utilizada no estudo, visando a conscientizao da importncia da adoo de um processo de anlise de riscos sistemtico e a melhoria dos aspectos relativos gesto de riscos e segurana da informao como um todo.
68
6 Concluses e Trabalhos Futuros
6.1 Concluses
A sociedade atual regida pela informao, que passou a ser um ativo reconhecido e valorizado pelas organizaes. Decorrente dessa agregao de valor informao, aliada s tecnologias de transmisso e gravao de dados, esse ativo das organizaes est sob constante risco e como qualquer ativo deve ser resguardado e protegido seja por seu valor real, ou seja, o quanto essa informao vale, ou por valores agregados, tais como impacto para a organizao em caso de perda ou vazamento da referida informao.
A proteo da informao feita por diversos processos encadeados. Um destes processos que trata especificamente do tratamento dos riscos aos quais a informao est exposta a Gesto de Riscos de Segurana da Informao. A Gesto de riscos tem por objetivos identificar os riscos que ameaam as informaes sensveis e importantes para a organizao, analisar os impactos envolvidos e propor as aes que devem ser tomadas para eliminao ou mitigao dos riscos.
Outro objetivo da Gesto de Riscos a priorizao de aes e dos investimentos para a segurana da informao de forma organizada, criteriosa e alinhada com os objetivos de negcios da organizao, o que evita o desperdcio de recursos e proporciona mais eficincia e eficcia Segurana da Informao.
69
importante que tal resultado seja alcanado para que a Segurana da Informao e a Gesto de Riscos se tornem parte da cultura organizacional e das prticas adotadas pela organizao.
Durante a construo do exemplo de aplicao de Anlise de riscos apresentado neste trabalho, foram trabalhados os principais conceitos referentes ao tema Gesto de Riscos: Informao, Segurana da Informao e o Processo de Gesto de Riscos. Essa aplicao, mesmo que fictcia, permitiu a visualizao da prtica dos conceitos relacionados. Durante a definio de contexto, a identificao e a anlise de riscos e mesmo a avaliao de riscos, que resultou na lista de ativos priorizados por nvel de riscos, foram identificados procedimentos que so sistemticos, organizados e encadeados. Essa sistematizao que permite a aplicao de gesto de riscos nas mais diferentes organizaes.
Dessa forma, foi feita anlise de riscos conforme mecanismos e critrios definidos, iniciando pela definio do contexto, ou seja, pela escolha de um modelo organizacional que permitisse definir os critrios bsicos para a gesto de riscos de segurana da informao e para a anlise de riscos. Foram ento identificados os ativos e os riscos associados a eles. Aps a identificao, os riscos foram analisados para identificao das vulnerabilidades, ameaas e impactos associados a cada ativo. A partir dos valores obtidos foi feita avaliao e a priorizao dos riscos.
Demonstrou-se assim a aplicabilidade da anlise de riscos, processo essencial da gesto de riscos de segurana da informao, respondendo assim a questo proposta no inicio desta pesquisa: Como a anlise de riscos pode ser aplicada na gesto da segurana da informao de uma organizao fictcia? .
Ao longo da pesquisa foram apresentadas recomendaes de diversas normas relativas segurana da informao. Apesar de a quantidade de normas ser grande, o estudo dessas normas, de forma organizada, alm de necessrio possvel. O conhecimento resultante deste estudo pode ser aplicado de forma semelhante aplicada nesta pesquisa, com uma viso de alto nvel, ou de forma mais detalhada nas sucessivas iteraes posteriores do processo.
70
Observa-se que os conceitos apresentados podem ser aplicados nas mais diversas organizaes, de diversos tamanhos e reas de atuao. A segurana da informao e a Gesto de Riscos podem ser aplicadas para a proteo da informao de qualquer organizao, basta que o contexto seja definido adequadamente, de forma a garantir que a aplicabilidade seja no somente possvel, mas principalmente eficaz.
Por fim, a Segurana da informao e a Gesto de Riscos so reas que assumem papis importantes no contexto das organizaes modernas. Essas organizaes so produtoras de informaes essenciais para a consecuo de seus objetivos e o alcance de suas metas. So esses processos que permitem que as organizaes planejem suas aes e tenham uma postura ativa e no somente reativa para enfrentar os desafios do mundo globalizado. A utilizao de recursos computacionais de tecnologia da informao no suficiente para proteger as informaes. A segurana requer o entendimento da importncia das pessoas nestes processos cada vez mais vitais para as organizaes.
6.2
Trabalhos Futuros
Por se tratar de uma pesquisa estritamente acadmica, uma proposta de
trabalho futuro a aplicao dos conceitos apresentados na anlise e avaliao de riscos em uma organizao real, utilizando a mesma metodologia desta pesquisa, tratando os ativos, as vulnerabilidades e as ameaas de forma mais exaustiva.
Outra proposta o estudo e a apresentao das normas apresentadas de forma mais profunda visando proposio de um modelo consolidado, convergindo e integrando as normas e ferramentas de Gesto de Segurana da Informao e Gesto de Riscos.
importante frisar que a implantao da Gesto de Segurana da Informao e da Gesto de Riscos requer a adoo de vrios processos, ferramentas para a criao de uma metodologia eficaz para a organizao em questo, e isso um
71
grande desafio. Desafio necessrio para que cada vez mais organizaes possam se planejar e preparar para enfrentar as ameaas, eliminar as vulnerabilidades e mitigar os riscos que possam causar impacto aos seus negcios.
72
Referncias e Fontes Consultadas
ABNT NBR ISO/IEC 17799. Tecnologia da informao Cdigo de prtica para a gesto de segurana da informao - 2005. ABNT NBR ISO/IEC 27001. Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos - 2006. ABNT NBR ISO/IEC 27002. Tecnologia da informao Cdigo de prtica para a gesto de segurana da informao - 2006. ABNT NBR ISO/IEC 27005. Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao Requisitos - 2008. ABNT NBR ISO/IEC GUIA 73. Vocabulrio Recomendaes para uso em normas 2003. AS/NZS 4360. Gesto de Riscos - 2004. BEAL, Adriana. Gesto estratgica da informao: como transformar a informao e a tecnologia da informao em fatores de crescimento e de alto desempenho nas organizaes. So Paulo: Atlas, 2004. BRANDO, J.E.M.S., FRAGA, J.S. Gesto de Riscos. Disponvel em: <http://je_brandao.sites.uol.com.br/arquivos/riscos.pdf>, Acesso em: 15 jul. 2011. BRASIL. Tribunal de Contas da Unio. Acrdo 1.603/2008-TCU-Plenrio: Levantamento acerca da Governana de Tecnologia da Informao na
73
Administrao Pblica Federal: Sumrios Executivos. Braslia, 2008. 48 p. Disponvel em: <http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/ 20080814/008-380-2007-1-GP.doc>. Acesso em: agosto de 2011. BRASIL. Tribunal de Contas da Unio. Boas prticas em segurana da informao / Tribunal de Contas da Unio. 3. ed. Braslia: TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2008. BRASIL. Secretaria Executiva do Conselho de Defesa Nacional. Instruo Normativa N1, de 13 de Junho de 2008: Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Disponvel em: <http://www.in.gov.br/imprensa/visualiza/ index.jsp?data=18/06/2008&jornal=1&pagina=6&totalArquivos=120>. Acesso em: Agosto de 2011; COSO, Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Integrated Framework: Executive Summary and Framework and Enterprise Risk Management Integrated Framework: Application Techniques, vol. 2. New Jersey: COSO, set. 2004. DEPARTAMENTO DE SEGURANA DA INFORMAO E COMUNICAES DO GSIPR. Norma Complementar 04/IN01/DSIC/GSIPR, de 14 de agosto de 2009 : Gesto de riscos de segurana da informao e comunicaes - GRSIC. Braslia, agosto 2009. Disponvel em: <http://dsic.planalto.gov.br>. Acesso em: Agosto de 2011. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books do Brasil, 2000. FERMA, Federation of European Risk Managemente Associations. Norma Europia de Gesto de Riscos. AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003. FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. Braslia: UNB, 2009.
74
FERNANDES, Jorge Henrique Cabral. Sistemas, Informao e Comunicao: GSIC050 (Notas de Aula). Curso de Especializao em Gesto da Segurana da Informao e Comunicaes: 2009/2011. Departamento de Cincias da Computao da Universidade de Braslia. 2010. 51 p. FERNANDES, Jorge Henrique Cabral. Introduo Gesto de Riscos de Segurana da Informao: GSIC302 (Notas de Aula). V.1.2. Curso de Especializao em Gesto da Segurana da Informao e Comunicaes: 2009/2011.
Departamento de Cincias da Computao da Universidade de Braslia. 2010. 56 p. FONTES, Edison Luiz Gonalves. Vivendo a segurana da informao: orientaes prticas para as organizaes. 1 Edio. So Paulo: Sicurezza: Brasiliano e Associados, 2000. LYRA, Mauricio Rocha. Segurana e Auditoria em Segurana da Informao. Rio de Janeiro: Ed. Cincia Moderna Ltda, 2008. MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002. MELO, Laerte Peotta de. Proposta de Metodologia de Gesto de Risco em Ambientes Corporativos na rea de TI / Laerte Peotta de Melo. Braslia , UnB, 2008. OHTOSHI, P. H. Anlise Comparativa de Metodologias de Gesto e de Anlise de Riscos sob a tica da Norma NBR-ISO/IEC 27005. [S.l.], 12 2008. Monografia de Concluso de Curso (Especializao) Departamento de Cincia da Computao, Instituto de Cincias Exatas, Universidade de Braslia. OLIVEIRA, Wilson Jos de.Segurana da Informao Tcnicas e
solues.Florianpolis: Editora Visual Books, maio 2001. RAMOS, Anderson (org.). Security Officer 1: Guia Oficial para Formao de Gestores em Segurana da Informao. Porto Alegre: Editora Zouk, 2006
75
SMOLA, Marcos. Gesto de segurana da informao: viso executiva da segurana da informao: aplicada ao Security Officer. Rio de Janeiro: Campus, 2003. SIANES, Marta. Compartilhar ou proteger conhecimentos? Grande desafio no comportamento informacional das organizaes. In STAREC, Cludio; GOMES, Elisabeth; BEZERRA, Jorge. Gesto estratgica da informao e inteligncia competitiva. So Paulo: Saraiva, 2005. SILVA, L.F.C.P. Gesto de riscos de segurana da informao como fator crtico na segurana da informao dos rgos da Administrao pblica federal: estudo de caso da Empresa Brasileira de Correios e Telgrafos - ECT. Disponvel em <http://repositorio.bce.unb.br/bitstream/10482/7473/1/2010_LuizFernandoCosta PereiradaSilva.pdf> Acesso em: 15 de agosto de 2011. SILVA, P. J. S. Anlise/Avaliao de Riscos de Segurana da Informao para a Administrao Pblica Federal: um enfoque de alto nvel baseado na ISO/IEC 27005. [S.l.], 6 2009. Monografia de Concluso de Curso (Especializao) Departamento de Cincia da Computao, Instituto de Cincias Exatas, Universidade de Braslia SOBREIRA, Isabela Figueiredo. A disseminao da informao na avaliao institucional e seus reflexos na cultura organizacional da UFMG. 1999. Dissertao (Mestrado) - UFMG, Belo Horizonte, 1999. VENEZIANO, Wilson Henrique. Organizaes e Sistemas de Informao: GSIC051 (Notas de Aula). Curso de Especializao em Gesto da Segurana da Informao e Comunicaes: 2009/2011. Departamento de Cincias da Computao da Universidade de Braslia. 2010

05 Aluisio

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

05 Aluisio

Enviado por

Direitos autorais:

Formatos disponíveis

Instituto de Cincias Exatas Departamento de Cincia da Computao Curso de Especializao em Gesto da Segurana da Informao e Comunicaes

Aluisio Meneses de Brito Junior

Aluisio Meneses de Brito Junior

Aluisio Meneses de Brito Junior

Monografia apresentada ao Departamento de Cincia da Computao da

Braslia Dezembro de 2011

Ata de Aprovao de Monografia

A Deus, pelas graas dadas e pelas lies aprendidas.

Um homem no pode fazer o certo numa rea da vida, enquanto

est ocupado em fazer o errado em outra. A vida um todo indivisvel .

Referncias e Fontes Consultadas ........................................................................... 72

a. Definies Preliminares: anlise da organizao e estruturao do GRSIC;

1.2 Formulao da Situao Problema

1.3 Objetivos e Escopo

1.3.2 Objetivos Especficos

d. ABNT NBR ISO/IEC 31000 princpios e diretrizes para a gesto de riscos;

2 Reviso de Literatura e Fundamentos

2.2 Ciclo de Vida da Informao

Figura 1 - Ciclo de vida da Informao. Fonte: Lyra (2008, p9)

2.3 Segurana da Informao

importncia de se assegurar as propriedades da informao como meio de proteo prpria organizao.

Este conceito ainda reafirmado em:

2.4 Atributos da Segurana da Informao

Normas e Padres de Segurana da Informao

2.5.1 AS/NZS 4360:2004

a. Identificar melhor oportunidades e ameaas b. Tirar proveito de incertezas e variabilidades

Na Figura 2, exposta abaixo, o processo de gesto de riscos conforme a AS/NZS 4360:

Figura 2 Processo de Gesto de risco conforme AS/NZS 4360:2004

2.5.3 ABNT NBR ISO/IEC 27001

Figura 3 O PDCA conforme a ISO/IEC 27001 (ABNT, 2006)

Conforme Melo (2008):

continuamente a segurana, um de seus principais patrimnios a informao.

2.5.4 ABNT NBR ISO/IEC 27002

2.5.5 ABNT NBR ISO/IEC 27005

2.5.6 ABNT NBR ISO/IEC 31000

2.6.2 Termos Relacionados Gesto de Riscos

2.6.3 Componentes do Risco

Gesto de Riscos de Segurana da Informao

Figura 4 O processo de gesto de Riscos da ISO27005:2008. Fonte: Fernandes (2009)

2.7.1.2 Anlise e Avaliao de Riscos de Segurana da Informao

Conforme a ISO 27005:

2.7.1.3 Tratamento do Risco

2.7.1.4 Aceitao do Risco

2.7.1.5 Monitorao e Anlise Crtica de Riscos

2.7.1.6 Comunicao do Risco

Referenciais Conceituais das Disciplinas do CEGSIC

Metodologia da pesquisa bibliogrfica

Metodologia para aplicao dos conceitos

3.2.1 Definio do Escopo 3.2.1.1 Identificao da Organizao

Figura 5 Organograma do CPDF

3.2.1.6 Objetivos Estratgicos

3.2.1.8 Limites de Escopo

3.2.1.9 Ativos Listados

3.2.1.10 Expectativas das Partes Interessadas

3.2.2 Critrios Bsicos

Critrios para Avaliao de Riscos:

Nvel da Vulnerabilidade (NV)

Critrio B (1) Nvel da Ameaa (NA) A (3)

Critrio de Impacto O Critrio de Impacto determina a gravidade das consequncias de um

Critrio B (1) Tempo Mximo de Indisponibilidade M (2) A (3)

Tempo de Indisponibilidade Mximo Menos de 1 ms Menos de 1 semana Menos de 1 hora

Nvel do Risco A (18-27)

Aceitabilidade Inaceitvel, requer ao imediata para manejar o risco.

No pode ser aceito, requer ao para manejar o risco.